Não é possível estabelecer a conexão de emparelhamento VPC no Amazon Lightsail

8

A AWS tem uma nova oferta VPS de barebones, o Lightsail, que é uma espécie de oferta EC2-Lite - extremamente leve - com apenas algumas classes de instância de tamanho fixo, preços simplificados e muito poucas opções, além de] sua própria minimalista console, como discuti em Qual é a diferença entre o Lightsail e o EC2? .

Tudo sobre esse serviço é simplificado e postado como um pouco separado da AWS, mas na verdade não. Faz parte da sua conta da AWS, se você se inscrever e ...

O Amazon Lightsail pode ver e conectar-se a outros recursos da AWS, como um banco de dados Amazon RDS ou Amazon Aurora. Nesta página, você pode tentar emparelhar seu LightsPC VPC com o AWS VPC. Por exemplo, convém separar sua camada de dados do seu aplicativo.

https://lightsail.aws.amazon.com/ls/webapp/account

Observe o pessimismo. "Você pode tentar espiar." É quase como se eles antecipassem esse problema.

A propósito, as instâncias do Lightsail têm o ponto de extremidade de metadados EC2 usual e são de fato t2, dentro de uma VPC "furtiva" que você não pode ver no console da AWS. E vou resolver esse problema porque eles têm alguns casos de uso interessantes, apesar de suas limitações (como uma margem surpreendentemente razoável para a largura de banda ligada à Internet). Então, como você habilita o peering com sua VPC existente?

É uma caixa de seleção. Sem opções, basta clicar em "Ativar VPC Peering".

Sua conexão de peering da VPC falhou.

Você pode tentar ativar o peering novamente. Se você ainda não pode associar sua VPC aos recursos do Lightsail, entre em contato com o Suporte ao cliente.

Tentei novamente, várias vezes ao longo de várias horas, e ainda assim ... sem dados, sem saída de diagnóstico, nada.

Verificando as coisas óbvias, como verificar o fato de que nenhum dos blocos CIDR das VPCs existentes na região entra em conflito com o bloco CIDR da VPC em que minha instância do Lightsail de teste parece estar, e tentar espiar as VPCs enquanto estiver logado como o usuário root, em vez de um usuário do IAM, não aparece nada ... Eu até tentei em uma segunda conta da AWS (existente) e também não funcionou lá. Mesmo erro.

Por que isso não funciona? Há algo mais que preciso fazer no lado da AWS antes de tentar configurar o peer VPC no Lightsail?

Além disso, se eu tenho várias VPCs na região, como posso escolher com quais as VPCs ocultas do Lightsail serão visualizadas? Parece haver muito pouca documentação sobre isso ... o que parece consistente com a aparente filosofia de design do Lightsail - ele tem tão poucas opções que há muito pouco que precisa de documentação.

Michael - sqlbot
fonte

Respostas:

11

Aparentemente, você não consegue escolher com qual VPC Lightsail tentará fazer a mesma parceria - ela quer fazer parceria com a VPC padrão.

Depois que o emparelhamento da VPC estiver ativado, você poderá endereçar outros recursos da AWS no seu AWS VPC padrão usando seus IPs privados.

https://amazonlightsail.com/docs/#faq

Não sei se ignorei isso originalmente ou se foi adicionado posteriormente à documentação. É a última frase de um parágrafo e eu posso simplesmente ter esquecido. Nas regiões em que tenho uma VPC padrão, não a uso, preferindo "rolar minha própria" do zero.

A VPC padrão não é simplesmente uma VPC que você selecionou como "o padrão", mas refere-se a uma VPC específica em cada região criada inicialmente pela infraestrutura da VPC pré-provisionada.

O problema é que você pode não ter um desses em todas as regiões ... e encontrará exatamente o problema descrito aqui, se você não tiver uma VPC padrão na região Lightsail em questão (quando isso foi originalmente escrito, O LightSail estava disponível apenas em us-east-1; foi posteriormente lançado em muitas das outras regiões da AWS). Se isso descrever sua situação, você poderá remediá-la sozinho ou entre em contato com o suporte. De qualquer forma, a VPC padrão parece ser a única VPC com a qual o Lightsail fará o mesmo ponto.

Não ter uma VPC padrão não deve ser um problema com uma conta AWS relativamente nova:

Se você criou sua conta da AWS após 04-12-2013, ela suporta apenas EC2-VPC. Nesse caso, você terá uma VPC padrão em cada região da AWS.

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/default-vpc.html

Ambas as contas que testei inicialmente eram um pouco mais antigas que isso.

Criei uma nova conta da AWS hoje e, sem surpresa, o emparelhamento do Lightsail VPC funcionou na primeira tentativa.

Após selecionar a região apropriada, se a página "Painel EC2" no console da AWS, no canto superior direito da tela, indicar ...

Plataformas Suportadas

EC2

VPC

... e não há menção de uma VPC padrão lá, é isso que você está perdendo. Você ( em 27/07/2017 ) poderá criar uma VPC padrão por conta própria. Caso contrário, entre em contato com o suporte da AWS para solicitar que eles reconfigurem sua conta para que você tenha uma VPC padrão, que era o processo padrão necessário antes da disponibilização da capacidade de criar sua própria. Depois de ter uma VPC padrão na região, tudo ficará bem.

Mas há um pouco de dificuldade, então você precisará executar etapas adicionais para preparar sua conta antes de tentar criar uma VPC padrão ou entrar em contato com o suporte.

P. Eu realmente quero uma VPC padrão para minha conta existente do EC2. Isso é possível?

Sim, no entanto, só podemos habilitar uma conta existente para uma VPC padrão se você não tiver recursos EC2-Classic para essa conta nessa região. Além disso, você deve finalizar todos os recursos do Elastic Load Balancers não fornecidos pela VPC, Amazon RDS, Amazon ElastiCache e Amazon Redshift nessa região. Após a configuração da sua conta para uma VPC padrão, todos os lançamentos futuros de recursos, incluindo instâncias iniciadas pelo Auto Scaling, serão colocados na VPC padrão. Para solicitar que sua conta existente seja configurada com uma VPC padrão, entre em contato com o Suporte da AWS. Analisaremos sua solicitação e seus serviços existentes da AWS e a presença do EC2-Classic para determinar se você é elegível para uma VPC padrão.

https://aws.amazon.com/vpc/faqs/#Default_VPCs

Esse é o problema - você perde permanentemente o acesso ao EC2-Classic - mas se você me perguntar, isso não é realmente um grande sacrifício.

Portanto, se sua conta ainda tiver acesso "EC2 Classic" e a VPC padrão estiver ausente, a solução é migrar e encerrar quaisquer instâncias antigas do EC2 Classic (sem VPC), além de quaisquer serviços em execução no na parte superior do EC2 Classic (como o RDS em execução fora da VPC), e provavelmente não seria uma má idéia remover entidades de suporte como IPs elásticos que não sejam da VPC, grupos de segurança etc. Então você pode entrar em contato com a AWS e ter sua conta reconfigurada para "EC2-VPC" apenas na região, e sua conexão de pares do Lightsail deve ser bem-sucedida.

Eu digo "deve ter sucesso" porque ainda estou esperando o Suporte da AWS "aprovar" minha alteração de conta solicitada. A última nota do ticket diz que minha solicitação "ainda está aberta" e esse processo é ...

geralmente bastante rápido, mas em algumas ocasiões pode levar de 24 a 48 horas para nossa equipe de serviço revisar e aprovar esse tipo de solicitação

Sucesso. Depois de alguns dias, o suporte da AWS reconfigurou minha conta. Agora tenho uma VPC padrão na região us-east-1 e clicar na caixa ao lado de "Ativar Peering VPC" agora funciona conforme o esperado. No console da VPC, agora posso ver que minha VPC padrão é analisada com a VPC "furtiva" alocada para o Lightsail.

Observe que você não precisa de um plano de suporte pago para solicitar que a AWS atualize sua conta, conforme descrito acima. Na verdade, você não está solicitando suporte técnico. Você pode enviar isso como uma solicitação de suporte da conta .

Se você deseja acessar recursos em outras VPCs na região que não seja a VPC padrão, não há suporte nativo, pelo menos no momento. Isso seria mais complicado para a AWS oferecer como serviço gerenciado, pois eles controlam o provisionamento básico da VPC padrão e da VPC Lightsail, mas não de outros.

As conexões de emparelhamento da VPC não suportam tráfego de trânsito , portanto, não é apenas uma questão de emparelhar as outras VPCs com a VPC padrão e conectar-se dessa maneira. Por enquanto, você precisa implantar servidores proxy TCP ou HTTP (por exemplo, HAProxy, semelhante a esta configuração , mas apontando para serviços ou um proxy semelhante na VPC de destino como back-end) ou instâncias que fornecem rede de origem e destino de particular a privada tradução de endereço (NAT) na VPC padrão, a fim de preencher a lacuna e atravessar para qualquer outra VPC por meio de uma conexão de emparelhamento adicional. O desempenho deve ser excelente, mas certifique-se de se familiarizar com os preços do tráfego VPC emparelhado. Os documentos Lightsail e EC2 parecem inconsistentes entre si, no que diz respeito aos custos de largura de banda para o tráfego em pares.

Michael - sqlbot
fonte
link correto para faq aws.amazon.com/lightsail/faq
jitbit 5/19/19